1. 모의 해킹(Penetration Test) 개념

모의 해킹(Penetration Test) : 침투, 침입, 침해 + Test (Pentest sqli - 구글링 시)

  - 해커와 동일한 환경과 조건, Hacking Skill을 가지고

    실제로 시스템의 취약성을 통해 시스켐이 어떤 방식으로 침해 될 수 있는 지 점검

 

모의 해킹의 대상은 계속 확대되고 있음 (IoT, IoE.. IT 인프라가 계속 구축되고 있음)

  - 웹 >> 모바일 >> IoT 기기들

 

모의 해킹을 하는 이유

  - 정보보호에 관련 된 법률에 명시가 되어 있기 때문에 (ISMS - 정보보호관리체계 인증 의무화)

    정보보호관리체계 전체에서 모의해킹이 차지하는 중요도가 상당함

  - 해킹 사고가 발생하면 기업이 입는 타격이 커짐 (이미지 손실, 법적 처벌)

 

모의 해킹 방법론 (국제적)

  - 실무에 사용되는 여러가지 모의해킹 가이드가 제공됨 (Penetration Testing Framework, OSSTMM, PTES, NIST)

  - PTES

   (사전계약(수행 계획서) - 정보수집 - 위협 모델링(취약점 식별) - 취약점 분석 - 침투 - 포스트 익스플로잇 - 보고서)

  - OSSTMM (Open Source Security Methodology Manual)

    1) Blind Test - 진단 대상의 정보 없이 (도메인 주소 정도만 가지고) 관리자 통보 후 수행

    2) Double Blind Test - 진단 대상 정보 없이 + 관리자 통보 없이 (실제 침해사고 시 관제 및 대응도 평가됨)

    3) Grey Box Test - 제한적인 정보를 가지고 관리자에게 통보 후 수행

    4) Double Grey Box Test

    5) Tandem Test - 관리자에게 통보 후 진단자가 공격 가능한 취약점을 전부 수행해 보는 것

    6) Reversal Test

  - 시나리오 기반 모의 해킹 수행 

 

모의 해킹 절차 (국내 실무)

사전 협의 단계 (Pre-Engagement Interactions)	담당 고객과 프로젝트 진행 범위 결정 (투입 인원, Task, 일정 등)
정보 수집 단계 (Intelligence Gathering)	점검할 대상에 대해 어떤 서비스 인지 외부에 노출된 모든 정보 수집 대외적 공개 서비스 정보(OSINT) + 포트 스캔
위협모델링 단계 (Threat Modeling)	수집된 정보 중 보안적인 문제가 발생할 수 있는 부분 분류 (진단자의 주관적인 견해가 들어 갈 수 있음)
취약점 분석 단계 (Vulnerability Analysis)	진단 항목에 맞게 어떤 취약점들이 도출 될 수 있는지 확인
침투단계 (Exploitation)	시나리오 기반 진단 항목을 서비스에 대입하여 침투여부 확인
내부 침투 단계 (Post Exploitation)	1차 침투 완료 후, 2,3차로 내부 시스템 침투 여부 확인 (보통 웹 해킹까지만 되면 시스템 내부 침투는 진행하지 않음)
보고서 작성	노출된 취약점 위협평가, 영향도 반영하여 결과 보고